Docker-Container: Welche nutzt ihr?

[Iqra]

… ich frage mich vergeblich, was ich zuhause mit docker soll. 🤔

Webanwendungen gehen auf apache25. DNS und dhcp kommen von ISC. Gut, die Root CA sollte eine eigene Maschine und per se offline sein. Aber hey, zuhause.

Was soll ich mit extra points of failure? Und extra overhead für Instanzen die ne Weile laufen sollen?

Vielleicht bin ich einfach zu alt und zu dumm den Vorteil eines virtualisierten DNS Clients zu begreifen?

 

[Snowi]

… ich frage mich vergeblich, was ich zuhause mit docker soll. 🤔

Kommt auf die Anwendung an, aber im Prinzip: Du hast einen dedizierten Container, optionaler weise mit einem Verzeichnis o.ä. in dem die Daten liegen. Wenn du es nicht mehr willst, kannst du es deinstallieren. Du hast die ganzen Abhängigkeiten nicht direkt auf deinem System, sondern in einem Container. Du kannst aus Prinzip heraus keine Versionsinkompatibilitäten mit irgendwelchen Bibliotheken o.ä. haben, weil die alle direkt im Container liegen usw.
Außerdem musst du ggf. deutlich weniger / gar nichts konfigurieren, je nachdem, was man genau braucht, und wie es angeboten wird. Eine komplexere Software musst du so nicht selbst aufsetzen, sondern du lädst einfach ein Image, das bis auf die Benutzerkennung fertig ist.
Und: Du kannst es reproduzierbar neu aufsetzen sowie sichern und direkt wieder einspielen, entweder auf deinem System, oder einem anderen.

Das macht aber, wie bereits erwähnt, nur unter Umständen Sinn. Es gibt da viele Anwendungen, wo das aus meiner Sicht nicht wirklich nötig ist. Aber es erspart ggf. viel Arbeit.

 

[Iqra]

Mmmm... Und man lernt nix, wenn ich dich richtig verstehe. Auspacken, einschalten, geht nicht" gehört bei mir dazu, ebenso wie einen Tag oder zwei "Neulandsgefühle" bei der ersten Einrichtung von zB freeradius.

Danke für die Erläuterung. Dann ist das definitiv nichts für mich. Wenn ich reproduzierbar will, dann sichere ich die Konfiguration. Oder baue ein Installationspaket drumrum. Oder nutze eins von den vielen Scripts die über die Jahre angefallen sind.

Mein DNS ist signiert und mein WLAN ist WPA2-Enterprise. Nix Docker. Eigene Leistung.

 

[Snowi]

Mmmm... Und man lernt nix, wenn ich dich richtig verstehe.

Das kommt drauf an, ob man was lernen will. Man muss es nur nicht mehr, was ggf. aber auch von Nachteil sein kann. Man kommt z.B. durch Projekte wie Mailcow auf die Idee, einen eigenen Mailserver aufzusetzen. Das funktioniert auch super, und Mailcow ist ein Klasse Projekt, das ich selbst einsetze. Aber: Ohne gute Grundkenntnisse im Bereich E-Mail (Server), ist das eine schlechte Idee.
Für viele andere Software ist das aber auch nicht nötig, z.B. wenn es etwas eher simples ist, was sowieso nur Lokal läuft. Dann brauche ich auch die Software nicht zu verstehen, einschließlich eventueller Sicherheitslücken durch die Konfiguration. Läuft ja nur Lokal, ggf. auch gar nicht Extern erreichbar, sondern nur als Host-Only-Netzwerk.

Aber wenn man lernen will: Die Docker Images sind ja nicht verschlüsselt o.ä. - das sind quasi Configs, die dir eine Software installieren und einrichten. Das kann man sich anschauen, verstehen und bearbeiten. Du kannst auch zB via Bash in den Container springen und manuell etwas bearbeiten. Ist also auch keine reine Blackbox.
Beispiel für ein Dockerfile (=Config, wenn man so will), wo man auch etwas sieht:
https://github.com/mailcow/mailcow-dockerized/blob/master/data/Dockerfiles/dovecot/Dockerfile


Aber generell: Es ist natürlich auch einfach zusätzliche Komplexität die man sich rein holt - und wenn man das nicht will, muss man das auch nicht.

 

[x.treme]

Fasst es gut zusammen - Docker erlaubt beim HomeServer Komplexitätsreduktion und vereinfachte Wartung.

Ich nutze entweder die offiziellen Docker-Container der Projekte oder die Adaptionen von Linuxserver.io wo ich Vertrauen in den Quellcode habe. Mit Watchtower aktualisiere ich alle meine Container mit ein paar Klicks oder automatisch, persistent sind dabei nur die Anwendungsdaten.

Diese liegen dabei via CIFS-Einbindung auf meinem NAS und sind somit leicht gesichert. Dank der Docker Compose Config-file kann ich auf jeden beliebigen Rechner mein komplettes Setup mit 20 Anwendungen innerhalb von 10 Minuten 1 zu 1 wieder neu aufsetzen. Eine immense Zeitersparnis. Eine neue Anwendung die ich testen will, ist mit Docker Compose ebenso mit ein paar Zeilen installiert und konfiguriert, und mit einem Klick bei Nichtgefallen wieder gelöscht.

Wenn man mehr Zeit und Lust hat, kann man es auch anders machen. Aber dank Docker macht Homeserver für mich erst richtig Spaß

 

[andy_m4]

Wenn man das mit Hyperlocal nutzt, dann werden nur die Root DNS Server abgefragt und das auch nicht bei jeder Anfrage.

Und die Root-DNS-Server sind jetzt keine öffentlichen Server oder wie? :-)

Das treibt die Komplexität nicht nach oben, macht aber vieles einfacher.

Doch. Es treibt die Komplexität nach oben. Mehr Software -> mehr Komplexität. Ne ganz einfache Geschichte an der es auch nicht wirklich viel zu deuteln gibt.
Aber ja. Mit dem "einfacher" hast Du natürlich recht. Die Pi-Hole-Appliance ist natürlich viel komfortabler zu administrieren als wenn man das quasi mit unbound "zu Fuß" macht.

 

[Niklas434]

Docker ist ein Fluch über die Jahre so viele Probleme gehabt, dass ich da möglichst drauf verzichte. Es laufen nur dinge, die mal ein Layer Problem oder nicht startende Container aushalten bzw. ohne die ich Leben kann.
1. FreshRss
2. LibreSpeed um schnell den Speed im Netzwerk zu checken.

So gut mir Vaultwarden, Resolve Proxy auch gefallen, aber Docker macht mir da echt ein strich durch die Rechnung, weswegen ich für viele Dinge mittlerweile auf die gute alte NextCloud setze.

So hat SafeInCloud bei mir Bitwarden ersetzt.

 

[polyphase]

Bei mir umgekehrt, Docker Container laufen super, Nextcloud ist eine verbuggte Katastrophe 🤣

 

[Raijin]

In dem Zuge möchte ich nur kurz ein Video verlinken, das ich mir gestern zum Thema Docker angeschaut habe, Docker Networking. Bisher habe ich meine Docker-Container tatsächlich nur im Default-Modus vernetzt, also als host-internes geNATtetes Subnetz. Offensichtlich bietet Docker aber zahlreiche weitere Netzwerkmodi, von denen ich bis dato nichts wusste bzw. mich einfach nicht näher damit beschäftigt habe - evtl ist das aber für viele andere hier schon ein alter Hut...

Dieser Beitrag dient der reinen Information und soll keine OffTopic-Diskussion starten. Da hier jedoch Setups mit vielen Containern gezeigt werden, kann der eine oder andere seine Container durch das verlinkte Video eventuell sinnvoller/besser/effizienter gestalten bzw. vernetzen - oder eben gerade nicht.

 

[mae1cum77]

Docker Container laufen super, Nextcloud ist eine verbuggte Katastrophe

Wenn der Container einmal läuft, konnte ich bisher auch keine Probleme feststellen .

NextCloud ist etwas speziell in den Anforderungen, gerade im Bezug auf die WebDAV-Funktionalität. Gibt immer wieder mal kleine Probleme nach Updates, allerdings gibt der Selbstcheck in den Administrativen Einstellungen immer eine gute Hilfestellung. Bin auf 25.0.1 und konnte alle Probleme recht schnell lösen.

 

[polyphase]

Ich hatte nur ärger mit der 25.
Daher mache ich jetzt alles was ich brauche mit dedizierten Containern.

Dafür hat man doch Docker 😁

 

[x.treme]

Habe noch ein wenig weiter experimentiert.
Was ich empfehlen kann, ist:
- Cloudflare Tunnel + NGINX
Damit richt Cloudflare einen Tunnel in mein Netzwerk ein (ohne dass ich Ports freigeben muss). Wobei ich Cloudflare auf die Kommunikation mit meinem NGINX-Container beschränkt habe.

Somit brauche ich unterwegs kein VPN mehr, sondern kann direkt via URL auf meine Dienste zugreifen.
Dabei habe ich Cloudflare die Authentication aktiviert, d.h. ich muss mich zunächst mit meinem Outlook-Account einloggen und werde nur bei Erfolg weitergeleitet.

 

[andy_m4]

Somit brauche ich unterwegs kein VPN mehr, sondern kann direkt via URL auf meine Dienste zugreifen.
Dabei habe ich Cloudflare die Authentication aktiviert, d.h. ich muss mich zunächst mit meinem Outlook-Account einloggen und werde nur bei Erfolg weitergeleitet.

Normalerweise nutzt man doch selfhosted Dienste damit man nicht so stark von einem externen Dienstleister abhängig ist (der dann ggf. auch noch Daten abgreift, wenns ungünstig läuft).
Ich sehe daher gerade den Sinn nicht so.
Insbesondere da gerade Cloudflare ein Anbieter ist, mit dem man eher nix zu tun haben will.

 

[x.treme]

Ich sehe daher gerade den Sinn nicht so.

Zugriff auf ausgewählte Dienste auf Geräten wo ich keinen VPN einrichten kann, also z.B. Firmencomputer.

 

[andy_m4]

@x.treme
Jetzt weiß ich immer noch nicht, warum ich dafür Cloudflare brauche.

 

[mae1cum77]

- Cloudflare Tunnel + NGINX

Oder:

Traefik v2 + Google OAuth2 oder Authelia (wenn Goolge Bauchschmerzen bereitet)

Bei Traefik ist es durch die Middlewares dann auch einfacher, alles Wichtige an die untergeordneten Container durchzureichen.

 

[x.treme]

Jetzt weiß ich immer noch nicht, warum ich dafür Cloudflare brauche.

Vorteil liegt in der vorgeschalteten Authentication z.B. via Azure/Google/Facebook/OneTimePassword abgesichert durch Cloudflare bevor ein Zugriff auf NGINX möglich ist.

D.h. ich muss nicht selber sicherstellen, dass meine Bastellösung mit Nginx und Authelia/Authentik/Keycloak/whatever abgesichert und gut gewartet ist und der Angriffsvektor auf mein Heimnetzwerk ist ebenso minimiert wie bei einem VPN ... (abgesehen von einer theoretischen Man-in-The-Middle Attacke durch Cloudflare )

Wie gesagt, persönliche Abwägung, wo man das höhere Risiko sieht - fand es nur ne spannende Alternative, und somit hat es der Cloudflare Tunnel in meine Docker-Container-Liste geschafft, um hier beim Thema zu bleiben

 

[andy_m4]

Vorteil liegt in der vorgeschalteten Authentication z.B. via Azure/Google/Facebook/OneTimePassword

Genau. Azure, Google, Facebook. Alles Buden die für ihre Datenschutzfreundlichkeit bekannt sind. In deren Hände legt man doch gerne Dinge wie Authentifizierung.

D.h. ich muss nicht selber sicherstellen, dass meine Bastellösung mit Nginx und Authelia/Authentik/Keycloak/whatever abgesichert und gut gewartet ist ...

Dann stellt sich die Frage, warum Du überhaupt noch was selfhosted machst, wenn Du Dir den Betrieb eh nicht zutraust.

 

[x.treme]

Dann stellt sich die Frage, warum Du überhaupt noch was selfhosted machst, wenn Du Dir den Betrieb eh nicht zutraust.

Die Diskussionskultur auf Computerbase war auch mal besser ... ich bin damit raus

 

[mae1cum77]

Dann stellt sich die Frage, warum Du überhaupt noch was selfhosted machst, wenn Du Dir den Betrieb eh nicht zutraust.

Hat doch weniger mit Zutrauen zu tun, als vielmehr Angriffsvektoren zu minimieren.

War iirc @Yuuri der mal in einem ähnlichen Thread dargelegt hat, daß beim gern propagierten VPN via Router, das komplette dahinterliegende Netz zugänglich gemacht wird, und alles an der implementierten Lösung hängt.

Da vertraue ich doch eher auf ein brauchbares MFA, als alles an ein 'sicheres' VPN-Passwort zu koppeln.